Извлечь конфигурацию приложения из безопасного места во время запуска задачи

Question

Я хочу, чтобы убедиться, что я не храню чувствительные ключи и учетные данные в источнике или изображениях докеров. В частности, я хотел бы сохранить свои учетные данные приложения RDS для Microsoft и скопировать их при запуске контейнера/задачи. В документации приведен пример retrieving the ecs.config file from s3, и я хотел бы сделать что-то подобное.

Я использую AMI с оптимизированным AMA Amazon с группой автоматического масштабирования, которая регистрируется с моим кластером ECS. Я использую ghost docker image без каких-либо настроек. Есть ли способ настроить то, что я пытаюсь сделать? 

Answer 1

Вы можете определить том на хосте и сопоставить его с контейнером с привилегиями только для чтения. Пожалуйста, обратитесь к следующей документации для настройки тома ECS для задачи ECS. http://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html

Хотя контейнер не имеет конфигурации во время сборки, он будет читать конфиги, как если бы они были доступны в собственной файловой системе.

Существует множество способов защитить конфигурацию на ОС хоста. В моих прошлых проектах я достиг того же, отключив ssh в хосте и введя конфигурацию при загрузке с помощью cloud-init.